Varna gesla, ki to niso: ji32k7au4a83

MrStein je 7. mar 2019 ob 08:40 izjavil:

SeMiNeSanja je 7. mar 2019 ob 00:23 izjavil:

Poleg tega ti ni treba uporabljati Cloud baziranih password managerjev. Pri lokalnih pa mogoče ravno zaradi 'panike pred hudobnim proizvajalcem' uporabiš nekega od OpenSource password managerjev. Ti vsekakor spadajo v kategorijo proizvodov, kjer je nadzor na višji stopnji in ne bo nihče prav zlahka vanj vgradil gnilo jajce.

khm... OpenSSL... khm

Se strinjam... pomanjkljivosti sistema pregledovanja odprte kode se je treba zavedati (in jo ne glorificirati tako kot Jype&Co).
OpenSSL je pač bil en tak primer, ki bi moral biti za marsikogar (Jype&Co?) budnica, da naj se že zbudijo iz svojih mokrih sanj o neprestanem nadzoru perfektno napisane odprte kode.

A kljub temu, določene rešitve že po svoji naravi uživajo bistveno višjo pozornost. Če se ji doda še Bounty program, pa zadeve postajajo že precej bolj atraktivne, da tudi kdaj kakšen amaterski 'hacker' zapravi urico z brskanjem po izvorni kodi take rešitve.

OpenSSL je dejansko bil presenečenje celo za skeptike, ker ga uporabljajo malodane vsi resni ponudniki varnostnih rešitev - pa še ti niso preverili, kaj pravzaprav vgrajujejo v svoje rešitve. Mislim, da bi se s tem moralo končati avtomatično sklepanje, da je nekaj "bolj varno", samo zato, ker je nekdo v licenčne pogoje napisal, da je stvar "Open". Žal nam kompanija okoli Jype dokazuje ravno nasprotno. Kot da so rezistentni, da bi se iz takih primerov kaj naučili. Plašnice gor in gremo dalje. Če pa kdo kaj pisne, se ga pa združno lotimo, proglasimo za bedaka in utišamo.
J* ga, takle mamo.

Ja, določena mera skepse je vedno potrebna.

thetech je 6. mar 2019 ob 23:43 izjavil:

Dejstvo je, da je geslo na papirju še najbolj varna opcija.

Najbolj varna opcija je geslo + 2FA in known devices.

No,
Koliko sodelujočih v tej temi, ki uporablja Chrom, ima up to date verzijo. Potem pa govorite o varnosti. Ne rabim vedeti tvojega uporabniškega imena + gesla + MFA tokna.

Mr.B je 7. mar 2019 ob 10:57 izjavil:

No,
Koliko sodelujočih v tej temi, ki uporablja Chrom, ima up to date verzijo. Potem pa govorite o varnosti. Ne rabim vedeti tvojega uporabniškega imena + gesla + MFA tokna.

Jaz prvenstveno uporabljam večno buggy Firefox Nightly.....
Včasih prav najeda, ko ti po 3x na dan teži z novo posodobitvijo.

imagodei je 7. mar 2019 ob 11:03 izjavil:

GrX je 7. mar 2019 ob 09:16 izjavil:

Pač gredo nekateri radi v skrajnosti, kar je značilno za ST..

Moj point je bil, da si gesla tipa 35hc.?37F/urSq ne boš zapomnil. Torej si ga boš zapisal. Če si ga zapišeš, je zadevo bolje hraniti v enem izmed (opensource) password managerjev. Boljše, kot da imaš geslo za certifikat za banko zapisano pod tipkovnico.

Se pa strinjam, da so težave pri passwordih drugje kot običajno mislijo ljudje. Oddaljeni brute force na (ustrezno skonfiguriran) računalnik ali spletno storitev ni nek problem, ker ti po nekaj napačnih poskusih ali zablokirajo prijavo, ali pa na nek način otežijo poskušanje (recimo 30 sekundni delayi med poskusi, 10 minut onemogočena prijava...) Če napadalec nima dostopa npr. do hash fajla, so ocene o tem, koliko hitro lahko hekerji dandanes z ultrahitrimi računalniki in ultrahitrimi GPU-ji pogruntajo geslo, za več magnitud preveč optimistične.

Seveda pa ostajajo keyloggerji, trojanci, kraje, socialni inženiring, phising ...

Se je pa treba zavedati, da je kvazi neuspešen bruteforce na neko spletišče lahko povsem nekaj drugega: DOS 'napad'.

Recimo, da Janezu najeda, ker Mojca neprestano visi na Facebook.
Ker ji drugače ne more preprečiti, se gre igrati z njeno prijavo. Poskusi 10 napačnih gesel....oz. kolikor jih je treba,da pride do account lockout-a in se hihita, ko Mojca peni na drugem koncu sobe.

Če je v tem primeru stvar še do neke mere zabavna, pa ima tak zaklep accounta lahko tudi veliko hujše razsežnosti.
Recimo, da ima podjetje izpostavljen RDP proti internetu (že samo po sebi fail), pa da nekdo zgolj pusti skripto, katera 'preveri' vsa 'javno znana' uporabniška imena (vir LinkedIn, spletna stran podjetja,..), v kombinaciji z njimi pa 'standardna gesla'.
Verjetnost, da napadalec na tak način 'vstopi' v podjetje je razmeroma majhna, vendar obstaja. Veliko večja pa je verjetnost, da bo za seboj pustil pravo opustošenje zaklenjenih accountov, ki bo adminu dalo kar nekaj ur dela, predenje ga razčisti.
Naslednji dan pa jovo na novo...dokler se ne naučijo, da se RDP ne pušča direktno dostopenega preko interneta.

thetech je 7. mar 2019 ob 00:01 izjavil:

SeMiNeSanja je 6. mar 2019 ob 23:59 izjavil:

thetech je 6. mar 2019 ob 23:57 izjavil:

Preberi članek še enkrat,mogoče boš potem razumel o čem je govora.. No, upam..

Moj odgovor se ni nanašal na članek, temveč na tvojo trditev, da je geslo na papirju še najbolj varno.....

No, jaz pa sem se nanašal na članek.. Svoja gesla za bančne storitve pač ne bom pošiljal v password managerje. Ti pa kar...

Ker ne razumeš kako ti password managerji delujejo. In jjim posledično ne zaupaš.

Jaz imam več 100 gesel in PIN-ov, vsako drugačno, in vseh ne morem vedeti na pamet.

Plus, če se mi kaj zgodi, lahko ta gesla uporabi eden izmed bližnjih/kolegov.

GrX je 7. mar 2019 ob 11:19 izjavil:

imagodei je 7. mar 2019 ob 11:03 izjavil:

GrX je 7. mar 2019 ob 09:16 izjavil:

Pač gredo nekateri radi v skrajnosti, kar je značilno za ST..

Moj point je bil, da si gesla tipa 35hc.?37F/urSq ne boš zapomnil. Torej si ga boš zapisal. Če si ga zapišeš, je zadevo bolje hraniti v enem izmed (opensource) password managerjev. Boljše, kot da imaš geslo za certifikat za banko zapisano pod tipkovnico.

Seveda pa ostajajo keyloggerji, trojanci, kraje, socialni inženiring, phising ...

Random gesla si res ne boš zapomnil, lahko pa si nekaj kar se tiče tvojega življenja. Denimo prva ženska: !19?Maya(_)Novak!90?, prvi avto: #YugoKoral(_)!93!# Precej hitro in enostavno in ja na ta način si jih jaz osebno zapomnim...

Prvič, govorim o random geslih, že od prvega posta dalje. Tle gor je bilo precej govora o pismenosti ... Očitno, če ne uporabljaš random gesel in se jih lahko zapomniš, to ni bilo namenjeno tebi.

Drugič, še vedno si moraš zapomnit, kateri spešl znak uporabljaš - razen če imaš isti template za vse. Ako imaš, well done. Če uporabljaš različne posebne znake, za 5 strani, se ti hitro naredi, da 3x narobe vtipkaš. Ni tragedija, je pa zoprno. In če se ti to pogosto dogaja, zna bit, da boš geslo zapisal.

Jaz samo pravim, da če zapišeš geslo, ki si ga ne moreš zapomnit, je bolje, da ga zapišeš v password manager, ki je open source in stalno preverjan. Ali pa si izbereš rešitev kot je https://www.passwordcard.org/en

Ja, občasni problem teh dolgih fraz (Passphrase) je ta, da jih je včasih blazno zoprno tipkat. Recimo, če ima podjetje pravilnik, da se računalnik zaklene po 5 minutah neaktivnosti. Uporabniku se strga, če bi moral "V Ponedeljek peljem Mojco že 3. na Morje" pisat 5x na uro, ker zraven ureja še ene papirje. Že krajša gesla so problem, večina ljudi ne zna natipkat 20 znakov ne da bi se pri tem 2x zmotila... Res je, če se prijaviš na eBay in opraviš nakup, je tako geslo čist kul. Če si pa nekje na javnem računalniku, pa vsake pol ure preveriš, a je kdo kaj novega napisal na slo-tech, boš pa hitro dobil živčni zlom, če boš vsakokrat moral najprej napisat "Kekec ni maral Kosobrina, zato mu je nagajal vsak dan".

Vsaka oblika gesel ima svoje prednosti in slabosti. Večinoma pa lih neke hude groze ni, če ima navadni uporabnik svoje domače omrežje strokovno skonfigurirano in neko semi-težko geslo na računalniku, skupno rabo nastavljeno samo v domačem omrežju in zavarovano z geslom... Pa če mal pomisli, ko klika po spletnih straneh in linkih v pošti. Script-kiddiji iščejo lahke tarče, je dovolj takih, ki uporabljajo Windows XP, nimajo gesla, na routerju WEP in default geslo za administratorja. Drugo je, če se kdo nalašč nate spravi. V tem primeru pa tudi ni izključeno, da ti bo vlomil domov, medtem ko boš v službi, pa pogledal gesla, ki jih imaš zapisana pod tipkovnico.

Je pač treba mal s pametjo. Geslo za Paypal bo nemara bolj komplicirano kot geslo za Slo-tech. Ali pa, kjer to omogočajo, uporabljaš MFA.

c3p0 je 7. mar 2019 ob 10:30 izjavil:

thetech je 6. mar 2019 ob 23:43 izjavil:

Dejstvo je, da je geslo na papirju še najbolj varna opcija.

Najbolj varna opcija je geslo + 2FA in known devices.

X.509 master race!!!

Oberyn je 7. mar 2019 ob 13:52 izjavil:

SeMiNeSanja je 7. mar 2019 ob 11:53 izjavil:

Šmenta, ker se ne spomnim več, kje sem zadnjič bral en članek, ki je govoril o kompleksnosti gesel.
Ali ni bilo ravna na S-T nekaj govora (in dokazovanja) o tem, da je geslo "V Ponedeljek peljem Mojco že 3. na Morje" ali "Kekec ni maral Kosobrina, zato mu je nagajal vsak dan" bolj varno oz. težje za razbiti, kakor pa geslo "Zg4AQG9CxG"? Če ni bilo na S-t, pa sem ta članek bral nekje drugje....

Jaz se tudi spomnim ene take teme, tu na st je bila. Kolikor sem si zapomnil, gesla v obliki smiselnih stavkov niso varna. Dictionary napadi so izjemno sofisticirani, niti slovenščina te ne reši pred njimi. Bolje se obnesejo nesmiselna zaporedja besed, kar si je še vedno lažje zapomniti kot naključne nize. Vendar mora biti zaporedje zelo skrbno izbrano. Zanimiva rešitev je Diceware Passphrase. Potrebujemo samo igralno kocko in njihov predpripravljen seznam besed.

V bistvu si narobe razumel. Stvar je ravno obratna.
Besed je neskončno več, kakor je znakov.
Čim znak nadomestiš z besedo (da ima geslo namesto 10 znakov 10 besed), si samo geslo naredil bistveno močnejše - četudi bi imel vse uporabljene besede v svojem slovarju - pogoj je seveda, da je ta po obsegu večji, kot je število razpoložljivih znakov - kar pa je že takointako osnovna značilnost vsakega slovarja.